-
-
[讨论]有没有处理过 会话标识未更新、跨站点请求伪造 的同仁
-
发表于: 2011-12-3 22:01
-
公司做的网银系统 客户做安全检测查出来这些问题。
开发语言为JAVA, 不知道有没有处理过类似问题的。
我解决的方案是:
1. 会话标识未更新
在登陆后台每次生成新的session并销毁cookie.
2.跨站点请求伪造
配置服务器域名路径,使用filter过滤所有后台调用 检查request head匹配路径信息。
目前补丁已经整理给客户 但不知道能不能验收通过了。。
有处理过的给点意见啊
开发语言为JAVA, 不知道有没有处理过类似问题的。
我解决的方案是:
1. 会话标识未更新
在登陆后台每次生成新的session并销毁cookie.
2.跨站点请求伪造
配置服务器域名路径,使用filter过滤所有后台调用 检查request head匹配路径信息。
目前补丁已经整理给客户 但不知道能不能验收通过了。。
有处理过的给点意见啊
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
